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Continuous Monitoring (CM) に 新 機能 が 追加 され 、 機能 が 向上 し まし た 。 


主 な 機能 の 概要 

SIEM 統合 の た め の 新 し い CM API 
ルー ルセット ビル ダ の 機能 拡張 

PCI 脆弱 性 の アラ ー ト の 取得 


SIEM 統合 の た め の 新 し い CM API 


Enterprise を ご 利用 の 多く の お 客 様 が 、 セ キュ リティ 情報 お よび イベ ント 管理 (SIEM) ソリ ュー ショ ン を 使用 し て 、 さ ま 
ざま な ソー ス か ら 取 得 し た セキ ュ リ ティ 上 の 各 威 の デー タ を 相関 付け 、 監査 を 目的 と し て レポ ー ト を 作成 し て いま す 。 
今回 、 新 し い Continuous Monitoring (CM) API を 導入 し た こと で 、 ユー ザ は 、 CM アラ ー ト を 既存 の SIEM ソリ ュー 
ショ ン に 直接 統合 で きる よう に な り ま し た 。 この API を 使用 する と 、 CEF 形式 (業界 標準 形式 ) で アラ ー ト を ダウ ン 
ロー ド し 、 CM アカ ウン ト か ら 情 報 を 検索 し て 取得 する こと が で きま す 。 


実行 で きる CM API の 操作 は 、 ア ラー ト の 取得 | プロ ファ イル の 取得 | ルー ルセット の 取得 | ルー ル の 取得 | アラ ー 
ト の 検索 | プロ ファ イル の 検索 | ルー ルセット の 検索 | ルー ル の 検索 | アラ ー ト の ダウ ン ロ ー ド (cef お よび csy 形式 ) 
で ず :。 


アラ ー ト の ダウ ン ロ ー ド の 例 
すべ て の オー プン ポー ト の アラ ー ト を CEF 形式 で ダウ ン ロ ー ド し ます 。 


API リク エス ト 


curl -u "USEBRNAME:PASSWORD" -H "content-type: text/xml" -X "POST" --data-binary @- 
"https://qualysapl.qualys.com/portal-api/rest/1.0/download/cm/alert/7format=cef"' < file.xml 


注記 : file.xml に は 、 リ クエ スト POST デー タ が 含ま れ ま す 。 


API リク エス ト POST デー タ 


<ServiceRequest> 
<filters> 
<Criteria field="eventType" operator="EQUALS">PORT OPEN</Criteria> 
</filters> 
</ServiceRequest> 
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CEF 出力 の 例 


Pack 


Pack 


dhost=xp-30- 


Jun 06 2014 15:43:9 83306MM.local 10.40.2.210 

CEF:0|QUALYS | QualysGuard| CM-1.4|PORT | PORT OPEN|0O|cat=PORT 
dhost=2k8core-30-21.2k864sp0.qualys.com dst=10.10.30.21 dmac=NA 
dntdom=2K8CORE-30-21 rt=Nov 05 2013 15:57:21 
csloperatingSystem=Windows 2008 Enterprise Server Servic 
dpt=61466 cs2protocol=udp cs3defaultService=NA 

CEF:01|QUALYS | QualysGuard| CM-1.4|PORT | PORT OPEN|O|cat=PORT 
dhost=2k8core-30-21.2k864sp0.qualys.com dst=10.10.30.21 dmac=NA 
dntdom=2K8CORE-30-21 rt=Nov 05 2013 15:57:21 
csloperatingSystem=Windows 2008 Enterprise Server Servic 
dpt=61466 cs2protocol=udp cs3defaultService=NA 

CEF:01|QUALYS | QualysGuard| CM-1.4|PORT | PORT OPEN|O|cat=PORT 
32.qualys.com dst=10.10.30.32 dmac=NA dntdom=XP-30-32 rt= 


Nov 21 2013 


19:42:56 csloperatingSystem=Windows XP dpt=445 cs2protocol=tcp 


cs3defaultService=microsoft-ds 

アラ ー ト を CSV 形式 で ダウ ン ロ ー ド する こと も で きま す 。 API リク エス ト で format=csv を 使用 し ます 。 

CSV 出力 の 例 

"AlertId", "Event Type", "ProfileTd", "Profile Name", "TB 

Address", "Hostname", "Operating System", "Event Date", "Alert Date" 
"237124", "PORT OPEN", "7401", "All Critical™, "10.10.30.21", "2k8core-30- 
21 .2k864sp0 .qua1ys.com", リー リル リツ 2013-12-31 15:57:217 2013 一 12ー3] 

15<: 597: ジ 27 

"2371727/ "PBORT OPEN", "5601", "MattYs Profile", "10.10.30.21", "2k8CoOreー 
30-21 .2k864sp0.gualys.com "リー リリ 2013-12-31 15:57:21 リ 9 "2013-12-31 

15: 57:237 

"238503", "PORT OPEN", "74017 ALL Critica1", "10.10.30 .32", "xpー30- 
32.qualys .com リ リー リリ 2014-01-16 19:42:56", "2014-01-16 19:42:58" 
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ルー ルセット ビル ダ の 機能 拡張 


「 ル レー ルセット ビル ダ 」 を 使用 し て 、 よ り 複 雑 な ルー ル を 作成 で きる よう に な り ま し た 。 ポー ト 条 件 や ホス ト 条 件 な ど 、 
さま ざま な 条件 セッ ト を 含む ルール を 作成 し ます 。 例え ば 、 こ れ を 使用 し て 、 す べ て の ホス ト で は な く 、 あ る 特定 の ホ 
スト の アデ アラート を 取得 する よう に で きま す 。 


例え ば 、 次 の よう な 事例 の アラ ー ト を 取得 する ルー ル を 作成 し ます 。 
Linux ホス ト 上 の オー プン ポー ト (80、443 以外 ) 


ホス ト 名 に 「order」 が 含ま れる ホス ト (「order01.phoenix.acme.com」 な ど ) の 30 日 後に 有効 期限 が 切れ る 証 
明 書 


Windows ホス ト に イン スト ー ル され た Firefox 


Ruleset Builder Launchhelp  % 


Add one or more rules to this ruleset. Each rule describes an event you want to be alerted on. 


Title* Open Ports on Linux Hosts 


Description Create alerts for open ports, except 80 and 443, on Linux hosts only. 


This is where you add and customize rules. Your rules can be simple (any new vulnerability) or complex (any new severity 5 vulnerability on a Linux host). 


Rule Types マ Rule 1: Opened Port / Service 


© When a port/service is Opened Changed 
ONLY TF 


Vulnerability Port Criteria Remove 


Host Criteria Remove 
Operatinq System 回 redhat 
Hostname 


NetBIOS 圏 


ム Add Criteria wv 


ここ に 移動 し て この ルー ル に 
基準 を 追加 し ます 。 


ルー ルセット に 別 の ルー ル を 追加 する に は 、 ルール タイ プ を 左 か ら 右 に ドラ ッ グ し て か ら 、 新しい ルー ル を カス タマ 
イズ し ます 。 ルー ルセット の ルー ル に 、 Rule 1、 Rule 2、 Rule 3 と いう よう に 名 前 が 付け られ ます 。 
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PCI 脆弱 性 の アラ ー ト の 取得 


今回 の リリ ー ス で は 、PCI 脆弱 性 (PC1 コン プラ イア ンス を 維持 する た め に 修正 すべ き 脆 弱 性 ) を 監視 で きる よう に な 
り ま し た 。 これ は 簡単 な 手順 で 設定 で きま す 。 


PCI コン プラ イア ンス に 影響 を 与え る すべ て の 新しい 脆弱 性 の アラ ー ト を 取得 する 場合 を 考え ます 。 [リル レー ルセット 
ビル ダ 」 で 、 「 脆 弱 性 」 ル ー ル タイ プ を 左 か ら 右 に ドラ ッ グ し ます 。 


Ruleset Builder Launch help  % 


Add one or more rules to this ruleset. Each rule describes an event you want to be alerted on. 


Tite* | New PCI Vuinerabiities | 


Description Create alerts for vulnerabilties that must be fixed for PCI compliance. 


This is where You add and customize rules. Your rules can be simple (any new vulnerability) or complex (any new severity 5 vulnerability on a Linux host). 


Rule Types 


Drag rules here 


ここ で ルー ル を カス タマ イズ し ます 。 「 新 規 」 を 選択 し 、「Add Criteria」 ドロップ ダウ ン か ら 「 脆 弱 性 」 を 選択 し ます 。 


Ff 


Ruleset Builder Launchhelp  % 


Add one or more rules to this ruleset. Each rule describes an event you want to be alerted on. 


| New PCI Vunerabiities 


Create alerts for vulnerabilties that must be fixed for PCI compliance. 


This is where you add and customize rules. Your rules can be simple (any new vulnerability) or complex (any new severity 5 vulnerability on a Linux host). 


Rule Types マ Rule 1: New Vulnerability 


コロ © wen a unenbtey e(( ve ) 隔 


キキ Add Criteria wv 
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「PCI」 オ プシ ョ ン を 選択 し ます 。 これ は 、PCI コン プラ イア ンス に 影響 を 与え る 脆弱 性 の アラ ー ト を 取得 する こと を 示 
し ます 。 


Ruleset Builder Launch help  % 


Add one or more rules to this ruleset. Each rule describes an event you want to be alerted on. 


New PCI Vulnerabilties 


Create alerts for vulnerabilties that must be fxed for PCI compliance. 


This is where you add and customize rules. Your rules can be simple (any new vulnerability) or complex (any new severity 5 vulnerability on a Linux host). 


Rule Types マ Rule 1: New Vulnerabiity 


Whenavulnerabiityis New 同 Fxed 


ONLY IF 
Vulnerability Criteria Remove 


severty 同 1 2 


MM 


ll 


司 | 


同 js Malware 同 Has Explot 同 Has Patch (gw) W 


し Adacrteria v 


PCI 脆弱 性 の アラ ー ト に 罰 罰 の フラ グ が 付け られ る た め 、 簡単 に 見 つけ て アク ショ ン を 実行 する こと が で きま す 。 


Alerts Configuration 


Alerts Alerts 


Search... 


Profile: | My First Profie マ | Ruleset My First Ruleset Edit. Star Date: 07032014 | EndDate: 070772014 円 


Show qraph 


5alerts 姜 v 


10.10.10.10 07 Jul 2014 7:55PM GMT 
Windows Remote Desktop Protocol Weak Encryption 0 d was found on host win7-10-10 


New Vulnerability Found: QID 90883 画面 画 10.10.10.10 07 Jul 2014 7:55PM GMT 
Windows Remote Desktop Protocol Uses Weak Privat d on host win7-10-10 


Vulnerability Reopened: QID 38094 _ 証 Pc 10.10.10.10 07 Jul 2014 7:55PM GMT 
Microsoft Windows XP Remote Desktop Plaintext Use' i| 


Vulnerability Reopened: QID 105501 証 10.10.10.10 07 Jul 2014 7:55PM GMT 
Windows Network Level Authentication Disabled for Fmote Deskiop was found on host win7-10-10 


Vulnerability Reopened: QID 90250 画 画 10.10.10.10 07 Jul 2014 7:55PM GMT 
Microsoft Windows Remote Desktop Protocol Server Wrivate Key [fsclosure was found on host win7-10-10 
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